LANのセキュリティとして有効な機能は、アクセス制御がある。これは暗号化が盗聴など、LAN上に流れる漏えいリスク対策に対して不正アクセスを制御するリスク対策となる。
アクセス制御＝セキュリティ機能ということでなく、本来作られた目的は効率的なトラフィック制御を実現する機能として作られたものです。
ただ、使い方によっては特定の端末や特定のネットワークからのアクセスを有効にすることができ、結果として重要なアプリケーションやデータを保持するサーバへのアクセスを限定的に行えるように制御する意味でセキュリティ機能となる。
なぜ、トラフィック制御が必要なのか？
今では、Switchが主流となっているがLANの伝送方式は、”CSMA/CD”というものであり、LANに接続したPCがランダムに通信を発生させ、コリジョン（衝突）が起きたら、再送する方式である。
この伝送方式の場合、ネットワーク上に端末が増加するとパフォーマンスが低下してしまう。これを回避する為に、一つの物理ケーブル上の端末数の上限を規制すると共に、端末の増加にあわせて、新しいネットワークを作り複数のネットワークをリピータで接続をした。
Switchが主流となった頃には、エンタープライズレベルのLAN構築も行われるようになっており、その場合には、レイヤー２Switchとレイヤー３Switchを上手く組合せ、更にローカルのルータでネットワーク間を接続するの当たり前となっていた。
ということで、アクセス制御はトラフィックを効率的に流す制御に始まり、今ではアクセスの可否をこの機能で行うようになっている。
トラフィック制御に関しては、一般的にはルーティングと呼び、アクセスの可否をコントロールするのがアクセスリストとなる。
木目細かいアクセスの制御は可能であるが、この設定を増やせば増やしただけSwitchやルータの処理能力は低下してしまう。
まさに腕の見せ所は、ルーティングとアクセスリストを最小設定で全ての要件を満たす設定を行えるかがポイントとなる。
とは、Switchのポート自体の制御により接続可能な相手やネットワークを限定したりというアクセス制御もある。
もう一つは、ファイアーウォール（FW)というまさに通信の壁的な機器やソフトウェアも出ている。これは、ネットワークの関所のようなもので、認められたモノには通信を許可し、それ以外はブロックするということも出来るようになっている。
また、FWは各種のログも取得が出来るので不正なアクセスを監視することもできます。

LANのセキュリティは、基本的に2つに分類されます。一つが暗号化そしてもう一つはアクセス制御です。
暗号化に関してですが、LAN自身が行えるのは暗号化装置や機能を使って行うものになります。この暗号化は構内のLANを前提でなく、WANと言われる専用線で建物と建物を接続する場合にその回線に流れる通信を暗号化するものになります。
今は、”専用線だから問題ない”というセリフは消えつつあります。そして光ケーブルかメタルケーブルかというところも光の方がメタルよりも盗聴リスクが低いというだけで”ゼロ”ではありません。
そして、多くの企業は広域Etherなどの閉域網サービスを利用していると思いますが、これは従来の専用線と異なり、通信キャリアがLANをベースとしたバックボーンを提供するものになります。
従って、皆さんが社内に構築されたLANと同じものと考えて良いと思います。違うのは、ファシリティ（建物設備など）と運用管理体制の違いだけだと思います。
こうした回線の終端に暗号化装置を設置することで暗号化を実現することが可能です。
これは、end to endでなくpoint to pointの暗号化であることを忘れてわいけなせん。
end to endで暗号化をしたい場合には、アプリケーションでの対応かミドルウェアでの対応が必要になります。
ミドルウェアでの対応の代表例は、アプリケーションをWEB化してHTTPSに対応する方法があります。
もう一つは、VPN接続でサーバと端末間をソフトウェア的に閉域化する方法があります。
これ以外の方法もあるかと思いますがメジャーとはいえませんので皆さんの会社のアプリケーションをみれば暗号化されているかいないかはある程度解ると思います。
VPNを使うケースで良くあるのは、シンクライアントとして外部から端末を接続するケースです。
徐々に色々なキーワードが出てきています。それぞれを単体で見ることも出来ますが、様々な機能が組み合わせることでセキュリティ強度をあげたり、管理工数を抑えたりと同じことをやるにしても、やり方次第で企業のIT基盤として業績の足を引っ張るか、力強い土台となるか変わってきます。
今後のブログの展開は、もちろん足を引っ張る基盤でなく、心強い基盤を目指していこうと思います。

Switchがメジャーになる頃には、上位機種モデルはインテグレートされ、様々な管理と通信制御が付加価値として組み込まれるようになった。
とはいえ、高価な装置を簡単に購入が出来る訳をなく、結果は盗聴や不正端末の接続を以下の早く見つけ出せるかということを運用の中で実施した。
なにをしたかというと、IPアドレスの管理と物理的なケーブルの管理を行った。幸いにも、オフィスの基盤としてLANは徐々に広がりを見せた時だったので、スタティック（固定的）なアドレス採番と管理をするにしても、Excelでの管理でも十分なレベルだった。
ケーブル管理は、工事図面に配線ルートを記載しタグ付をしてその情報を管理した。
セキュリティ機能がないから、まずは基本の考え方は不正アクセスなどはある前提で如何にその不正を早く見つけられるのかというところに焦点を当てた。
10BASE5の頃は、図面で解れベルだったが、10BASE Tが出だした頃からは、一人一台のPC時代の幕が開け、電話と同様にPCも人に割り当てる時代となった。
一人に一台の時代になると当然、活用方法なども色々と出てくるわけで、PCを含めた管理も重要だし、セキュリティ的な措置も必要性を増していきます。
じゃぁ、なにを管理するのか？！ということになります。出来ないものを検討しても結論は出来ないです。出来ることで有効なことはなにかを探すのです。
マシンを特定する情報、利用者の情報そして配線というのが基本事項になってきます。
そこにネットワーク自身の論理情報（例えばネットワークアドレス）がしっかりと管理出来ていれば、当時は事故があったとしても、最善の処置が行えるという判断だったと思います。
こうした管理情報を更新する運用が行われていれば、のちにセキュリティ機能がリリースされた時に最短でその機能が利用できます。
こうして、セキュリティの拡充よりも増えていく端末に対応、そして多様化される環境を如何に管理するかということから、セキュリティという機能を取り込んでいく形へと変化していった。